第05章密码管理技术解释.ppt

* 5.4 公钥基础设施PKI 5.4.1 PKI概念 5.4.2 PKI的组成 5.4.3 X.509认证业务 5.4.4 认证中心（CA）的体系结构与服务 5.4.5 PKI中的信任模型 * 5.4.5 PKI中的信任模型 建立一个管理全世界所有用户的全球性PKI是不现实的。比较可行的办法是各个国家都建立自己的PKI，一个国家之内在分别建立不同行业或不同地区的PKI。为了实现跨地区、跨行业，甚至跨国际的安全电子业务，这些不同的PKI之间的互联互通和相互信任是不可避免的。 证书用户、证书主体、各个CA之间的证书认证关系称为PKI的信任模型 常用的信任模型有4种： 认证机构的严格层次结构模型 分布式信任结构模型 Web模型 以用户为中心的信任模型。 * 5.4.5 PKI中的信任模型 1. 严格层次结构模型 严格层次结构模型是一种集中式的信任模型，又称树（层次）模型。认证机构的严格层次结构模型是一颗树，它比较适合具有层次结构的机构，如军队、垂直性行业、学校等。 在严格层次结构模型中，多个CA和最终用户构成一颗树。其中最高级的一个CA为根，称为根CA，根CA是树型信任模型中的信任根源。其他CA根据其在树中的位置不同，而分别被称为中间CA和底层CA。证书的持证人（最终用户）为树的叶子。所有的CA和最终用户都遵循共同的行动准则。 * 5.4.5 PKI中的信任模型 1. 严格